Duolingo adalah situs web dan aplikasi pembelajaran bahasa terbesar di dunia dengan lebih dari 74 juta pengguna bulanan. Menurut Bleeping Computer, kebocoran data pribadi pengguna Duolingo memungkinkan peretas melancarkan serangan phishing yang tertarget.
Pada bulan Januari 2023, sebuah akun di forum peretas menjual data yang dikumpulkan dari 2,6 juta pengguna Duolingo seharga $1.500, dan forum tersebut telah ditutup.
Data ini mencakup kredensial login, nama asli, dan informasi non-publik, termasuk alamat email dan informasi internal terkait layanan Duolingo. Meskipun profil pengguna Duolingo menampilkan nama asli dan nama login secara publik, alamat email akan dianonimkan.
Iklan menjual 2,6 juta data pengguna Duolingo seharga $1.500
Duolingo mengonfirmasi kepada TheRecord bahwa data yang dikumpulkan dan dijual diambil dari catatan publik, dan bahwa layanan tersebut sedang menyelidiki apakah akan mengambil tindakan pencegahan lebih lanjut. Namun, Duolingo tidak menyebutkan bahwa alamat email juga tercantum dalam data tersebut.
Data dari 2,6 juta pengguna dirilis kemarin di versi baru forum peretas hanya dengan $2,13. Data tersebut dikumpulkan menggunakan antarmuka pemrograman aplikasi (API) yang telah dibagikan secara publik sejak Maret 2023.
API Duolingo ini memungkinkan siapa pun untuk mengirimkan permintaan guna mengambil informasi profil publik pengguna. Namun, Anda juga dapat memberikan alamat email ke API dan mengonfirmasi apakah alamat tersebut terkait dengan akun Duolingo.
BleepingComputer mengatakan API tersebut tetap tersedia untuk publik bahkan setelah penyalahgunaannya dilaporkan ke Duolingo pada bulan Januari.
Ada kemungkinan peretas memasukkan jutaan alamat email—yang kemungkinan terekspos dalam kebocoran data sebelumnya—ke dalam API untuk memeriksa apakah alamat-alamat tersebut milik akun Duolingo. Alamat-alamat email ini kemudian digunakan untuk membuat kumpulan data yang berisi informasi publik dan non-publik.
Peretas Unggah Ulang Data 2,6 Juta Pengguna Duolingo dengan Harga Sangat Murah
Perusahaan cenderung membuang data yang dikumpulkan karena sebagian besarnya sudah bersifat publik. Namun, ketika data publik dicampur dengan data pribadi seperti nomor telepon dan alamat email, informasi yang terekspos menjadi lebih berisiko dan berpotensi melanggar undang-undang perlindungan data.
Pada tahun 2021, Facebook mengalami pelanggaran data besar-besaran setelah API "Tambah Teman"-nya disalahgunakan untuk menghubungkan nomor telepon ke akun Facebook milik 533 juta pengguna. Komisi Perlindungan Data Irlandia (DPC) mendenda Facebook sebesar €265 juta ($275,5 juta) karena menyebabkan pelanggaran tersebut. Sebuah bug baru-baru ini di API Twitter digunakan untuk mencuri data publik dan alamat email jutaan pengguna, yang menyebabkan investigasi oleh DPC. Duolingo belum menjelaskan mengapa mereka membiarkan API tersebut terbuka untuk umum setelah laporan penyalahgunaan diterima.
[iklan_2]
Tautan sumber
![[Foto] Ketua Kongres Rakyat Nasional Tiongkok Zhao Leji mengunjungi Mausoleum Ho Chi Minh](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/1/45b2a2744fa84d27a59515b2fe53b42a)
![[Foto] Ketua Majelis Nasional Tran Thanh Man menerima Presiden Senat Kamboja Hun Sen](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/1/7a90c9b1c1484321bbb0fadceef6559b)
![[Foto] Kota Ho Chi Minh dipenuhi dengan bendera dan bunga pada malam Hari Nasional 2 September](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/1/f493a66401844d4c90919b65741ec639)
![[Foto] Perayaan 65 Tahun Hubungan Diplomatik Vietnam dan Kuba](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/1/0ed159f3f19344e497ab652956b15cca)
Komentar (0)